Үүлэн тооцооллыг өргөнөөр нэвтрүүлэх нь компаниудад бизнесээ өргөжүүлэхэд тусалдаг. Гэхдээ шинэ платформ ашиглах нь шинэ аюул заналхийлж байна гэсэн үг юм. Үүлэн үйлчилгээний аюулгүй байдлыг хянах үүрэгтэй байгууллагад өөрийн багийг ажиллуулах нь тийм ч амар ажил биш юм. Одоо байгаа хяналтын хэрэгслүүд нь үнэтэй бөгөөд удаан байдаг. Том хэмжээний үүлэн дэд бүтцийг баталгаажуулах үед тэдгээрийг удирдахад тодорхой хэмжээгээр хэцүү байдаг. Үүлэн аюулгүй байдлаа өндөр түвшинд байлгахын тулд компаниудад өмнө нь байсан зүйлээс давсан хүчирхэг, уян хатан, ойлгомжтой хэрэгслүүд хэрэгтэй. Энд нээлттэй эхийн технологи нь аюулгүй байдлын төсвийг хэмнэхэд тусалдаг бөгөөд тэдний бизнесийн талаар сайн мэддэг мэргэжилтнүүд бий болгодог.
Өнөөдөр бидний орчуулж буй нийтлэл нь үүлэн системийн аюулгүй байдлыг хянах 7 нээлттэй эхийн хэрэгслийн тоймыг өгдөг. Эдгээр хэрэгслүүд нь гажиг, аюултай үйл ажиллагааг илрүүлэх замаар хакерууд болон кибер гэмт хэрэгтнүүдээс хамгаалах зорилготой юм.
1. Өгүүллэг
нь аюулгүй байдлын мэргэжилтнүүдэд SQL ашиглан нарийн төвөгтэй өгөгдөл олборлох боломжийг олгодог үйлдлийн системүүдийн доод түвшний хяналт, шинжилгээ хийх систем юм. Osquery framework нь Linux, macOS, Windows болон FreeBSD дээр ажиллах боломжтой. Энэ нь үйлдлийн системийг (OS) өндөр гүйцэтгэлтэй харилцааны мэдээллийн сан болгон төлөөлдөг. Энэ нь аюулгүй байдлын мэргэжилтнүүдэд SQL асуулга ажиллуулж үйлдлийн системийг шалгах боломжийг олгодог. Жишээлбэл, асуулга ашиглан та ажиллаж байгаа процессууд, ачаалагдсан цөмийн модулиуд, нээлттэй сүлжээний холболтууд, суулгасан хөтчийн өргөтгөлүүд, техник хангамжийн үйл явдал, файлын хэшүүдийн талаар олж мэдэх боломжтой.
Osquery хүрээг Facebook-ээс бүтээсэн. Үйлдлийн системийн доод түвшний механизмыг хянах хэрэгсэл нь зөвхөн өөрөө биш гэдгийг компани ойлгосны дараа 2014 онд түүний кодыг нээлттэй эх сурвалжтай болгосон. Түүнээс хойш Osquery-г Dactiv, Google, Kolide, Trail of Bits, Uptycs болон бусад олон компанийн мэргэжилтнүүд ашиглаж ирсэн. Саяхан байсан Линукс сан болон Facebook хамтран Osquery-г дэмжих сан байгуулах гэж байна.
Osquery-ийн osqueryd гэж нэрлэгддэг хост мониторингийн демон нь танай байгууллагын дэд бүтцээс мэдээлэл цуглуулдаг асуулга төлөвлөх боломжийг танд олгоно. Демон нь асуулгын үр дүнг цуглуулж, дэд бүтцийн төлөв байдалд гарсан өөрчлөлтийг тусгасан бүртгэлүүдийг үүсгэдэг. Энэ нь аюулгүй байдлын мэргэжилтнүүдэд системийн төлөв байдлын талаар мэдээлэл өгөхөд тусалж болох бөгөөд гажиг илрүүлэхэд онцгой ач холбогдолтой юм. Osquery-ийн бүртгэлийг нэгтгэх чадварыг танд мэдэгдэж байгаа болон үл мэдэгдэх хортой программыг олох, түүнчлэн халдагчид таны системд хаанаас нэвтэрч, ямар програм суулгасныг олоход ашиглаж болно. Osquery ашиглан гажиг илрүүлэх талаар дэлгэрэнгүй уншина уу.
2. GoAudit
систем үндсэн хоёр бүрэлдэхүүн хэсгээс бүрдэнэ. Эхнийх нь системийн дуудлагыг таслан зогсоох, хянах зориулалттай цөмийн түвшний зарим код юм. Хоёрдахь бүрэлдэхүүн хэсэг нь хэрэглэгчийн орон зайн дэмон юм . Энэ нь аудитын үр дүнг диск рүү бичих үүрэгтэй. , компанийн бүтээсэн систем болон 2016 онд гарсан, аудитыг орлуулах зорилготой. Энэ нь дүн шинжилгээ хийхэд хялбар болгох үүднээс Линукс аудитын системээр үүсгэсэн олон мөрт үйл явдлын мессежийг нэг JSON blob болгон хувиргаснаар бүртгэл хөтлөх чадварыг сайжруулсан. GoAudit-ийн тусламжтайгаар та цөмийн түвшний механизмд сүлжээгээр шууд хандах боломжтой. Нэмж дурдахад та хост дээр хамгийн бага үйл явдлын шүүлтүүрийг идэвхжүүлж болно (эсвэл шүүлтүүрийг бүрэн идэвхгүй болгох). Үүний зэрэгцээ GoAudit нь зөвхөн аюулгүй байдлыг хангах зорилготой төсөл юм. Энэ хэрэгсэл нь системийн дэмжлэг эсвэл хөгжүүлэлтийн мэргэжилтнүүдэд зориулсан онцлог шинж чанартай хэрэгсэл болгон бүтээгдсэн. Энэ нь томоохон хэмжээний дэд бүтцийн асуудалтай тэмцэхэд тусалдаг.
GoAudit системийг Голанг хэл дээр бичсэн. Энэ нь төрөлд аюулгүй, өндөр гүйцэтгэлтэй хэл юм. GoAudit-г суулгахаасаа өмнө Golang-ийн хувилбар 1.7-с дээш байгаа эсэхийг шалгаарай.
3. Grapl
Төсөл (Graph Analytics Platform) нь өнгөрсөн оны XNUMX-р сард нээлттэй эхийн ангилалд шилжсэн. Энэ нь аюулгүй байдлын асуудлыг илрүүлэх, компьютерийн шүүх шинжилгээ хийх, ослын тайлан гаргах харьцангуй шинэ платформ юм. Халдагчид ихэвчлэн график загвар гэх мэт зүйлийг ашиглаж, нэг системийн хяналтыг авч, энэ системээс эхлэн бусад сүлжээний системийг судалж үздэг. Тиймээс системийн хамгаалагчид систем хоорондын харилцааны онцлогийг харгалзан сүлжээний системийн холболтын график загварт суурилсан механизмыг ашиглах нь зүйн хэрэг юм. Grapl нь лог загвар гэхээсээ илүү график загварт суурилсан ослын илрүүлэлт, хариу арга хэмжээг хэрэгжүүлэх оролдлогыг харуулж байна.
Grapl хэрэгсэл нь аюулгүй байдалтай холбоотой логуудыг (Sysmon бүртгэлүүд эсвэл ердийн JSON форматын бүртгэлүүд) авч, тэдгээрийг дэд график болгон хувиргадаг (зангилаа тус бүрийн "их таних тэмдэг"-ийг тодорхойлдог). Үүний дараа энэ нь дэд графикуудыг нэгтгэсэн нийтлэг график (Мастер График) бөгөөд энэ нь дүн шинжилгээ хийсэн орчинд гүйцэтгэсэн үйлдлүүдийг илэрхийлдэг. Grapl дараа нь гажиг болон сэжигтэй хэв маягийг тодорхойлохын тулд "халдагчийн гарын үсэг" ашиглан үүссэн график дээр анализаторуудыг ажиллуулдаг. Анализатор сэжигтэй дэд хэсгийг илрүүлэх үед Grapl нь мөрдөн байцаалтад зориулагдсан Engagement бүтцийг үүсгэдэг. Engagement нь AWS орчинд байрлуулсан Jupyter Notebook-д ачаалах боломжтой Python анги юм. Грапл нь график өргөжүүлэх замаар ослын мөрдөн байцаалтад зориулж мэдээлэл цуглуулах цар хүрээг нэмэгдүүлэх боломжтой.
Хэрэв та Grapl-ийг илүү сайн ойлгохыг хүсч байвал үзэж болно сонирхолтой видео - BSides Las Vegas 2019 тоглолтын бичлэг.
4. OSSEC
нь 2004 онд байгуулагдсан төсөл юм. Энэ төслийг ерөнхийдөө хостын шинжилгээ, халдлагыг илрүүлэхэд зориулагдсан нээлттэй эх сурвалжийн аюулгүй байдлын хяналтын платформ гэж тодорхойлж болно. OSSEC-ийг жилд 500000 гаруй удаа татаж авдаг. Энэ платформыг серверүүд дээр халдсан халдлагыг илрүүлэх хэрэгсэл болгон ашигладаг. Түүнээс гадна бид орон нутгийн болон үүлний системийн талаар ярьж байна. OSSEC нь ихэвчлэн галт хана, халдлагыг илрүүлэх систем, вэб серверийн хяналт, шинжилгээний бүртгэлийг шалгах, мөн баталгаажуулалтын бүртгэлийг судлах хэрэгсэл болгон ашигладаг.
OSSEC нь Хост суурилсан халдлагыг илрүүлэх системийн (HIDS) чадавхийг Аюулгүй байдлын ослын менежмент (SIM) болон аюулгүй байдлын мэдээлэл ба үйл явдлын менежмент (SIEM) системтэй хослуулсан. . OSSEC нь файлын бүрэн бүтэн байдлыг бодит цаг хугацаанд хянах боломжтой. Жишээлбэл, энэ нь Windows бүртгэлийг хянаж, rootkit-ийг илрүүлдэг. OSSEC нь илэрсэн асуудлын талаар оролцогч талуудад бодит цаг хугацаанд мэдэгдэх боломжтой бөгөөд илэрсэн аюулд хурдан хариу өгөхөд тусалдаг. Энэхүү платформ нь Microsoft Windows болон Linux, FreeBSD, OpenBSD, Solaris зэрэг орчин үеийн Unix-тэй төстэй системүүдийг дэмждэг.
OSSEC платформ нь агентуудаас мэдээлэл хүлээн авах, хянахад ашигладаг төв хяналтын байгууллага болох менежерээс бүрдэнэ (хяналт хийх шаардлагатай системд суулгасан жижиг програмууд). Менежер нь файлуудын бүрэн бүтэн байдлыг шалгахад ашигладаг мэдээллийн санг хадгалдаг Линукс систем дээр суурилагдсан. Мөн үйл явдлын бүртгэл, бүртгэл, системийн аудитын үр дүнг хадгалдаг.
OSSEC төслийг одоогоор Atomicorp дэмжиж байна. Тус компани нь үнэгүй нээлттэй эхийн хувилбарыг хянадаг бөгөөд үүнээс гадна санал болгодог бүтээгдэхүүний арилжааны хувилбар. OSSEC төслийн менежер системийн хамгийн сүүлийн хувилбар болох OSSEC 3.0-ийн талаар ярьж буй подкаст. Мөн төслийн түүх, компьютерийн аюулгүй байдлын салбарт хэрэглэгдэж буй орчин үеийн арилжааны системүүдээс юугаараа ялгаатай болохыг өгүүлдэг.
5. Миркат
нь компьютерийн аюулгүй байдлын үндсэн асуудлуудыг шийдвэрлэхэд чиглэсэн нээлттэй эхийн төсөл юм. Тодруулбал, халдлагыг илрүүлэх систем, халдлагаас урьдчилан сэргийлэх систем, сүлжээний аюулгүй байдлын хяналтын хэрэгсэл зэргийг багтаасан болно.
Энэ бүтээгдэхүүн 2009 онд гарч ирсэн. Түүний ажил дүрэм журамд суурилдаг. Өөрөөр хэлбэл, үүнийг ашигладаг хүн сүлжээний траффикийн тодорхой шинж чанаруудыг тайлбарлах боломжтой болно. Хэрэв дүрэм идэвхжсэн бол Суриката мэдэгдэл гаргаж, сэжигтэй холболтыг хаах эсвэл цуцлах бөгөөд энэ нь дахин заасан дүрмээс хамаарна. Төсөл нь олон урсгалтай ажиллагааг дэмждэг. Энэ нь их хэмжээний траффик дамжуулдаг сүлжээнд олон тооны дүрмийг хурдан боловсруулах боломжтой болгодог. Олон урсгалын дэмжлэгийн ачаар энгийн сервер нь 10 Гбит/с хурдтай явж буй траффикийг амжилттай шинжлэх боломжтой. Энэ тохиолдолд администратор замын хөдөлгөөний шинжилгээнд ашигладаг дүрмийн багцыг хязгаарлах шаардлагагүй. Suricata нь мөн хэш хийх, файл хайхыг дэмждэг.
Suricata-г бүтээгдэхүүнд саяхан нэвтрүүлсэн функцийг ашиглан ердийн серверүүд эсвэл AWS зэрэг виртуал машинууд дээр ажиллуулахаар тохируулж болно. .
Энэхүү төсөл нь Луа скриптүүдийг дэмждэг бөгөөд үүнийг аюулын гарын үсгийг шинжлэхэд нарийн төвөгтэй, нарийвчилсан логикийг бий болгоход ашиглаж болно.
Суриката төслийг Нээлттэй мэдээллийн аюулгүй байдлын сан (OISF) удирддаг.
6. Zeek (Ах)
Суиката шиг, (энэ төслийг өмнө нь Bro гэж нэрлэдэг байсан бөгөөд BroCon 2018 дээр Zeek гэж нэрлэсэн) нь мөн халдлагыг илрүүлэх систем, сүлжээний аюулгүй байдлын хяналтын хэрэгсэл бөгөөд сэжигтэй эсвэл аюултай үйл ажиллагаа зэрэг гажуудлыг илрүүлдэг. Zeek нь ердийн IDS-ээс ялгаатай нь үл хамаарах зүйлийг илрүүлдэг дүрэмд суурилсан системээс ялгаатай нь Zeek нь сүлжээнд болж буй үйл явдалтай холбоотой мета өгөгдлийг авдаг. Сүлжээний ердийн бус үйлдлийн нөхцөл байдлыг илүү сайн ойлгохын тулд үүнийг хийдэг. Энэ нь жишээлбэл, HTTP дуудлага эсвэл аюулгүй байдлын гэрчилгээ солилцох процедурт дүн шинжилгээ хийх замаар протокол, пакетийн толгой, домэйн нэрийг харах боломжийг олгодог.
Хэрэв бид Zeek-ийг сүлжээний аюулгүй байдлын хэрэгсэл гэж үзвэл энэ нь тухайн мэргэжилтэнд ослын өмнө болон үеэр юу тохиолдсон талаар олж мэдэх замаар үйл явдлыг судлах боломжийг олгодог гэж хэлж болно. Zeek нь сүлжээний хөдөлгөөний өгөгдлийг өндөр түвшний үйл явдал болгон хувиргаж, скрипт орчуулагчтай ажиллах боломжийг олгодог. Орчуулагч нь үйл явдлуудтай харилцах, сүлжээний аюулгүй байдлын хувьд тэдгээр үйл явдлууд яг юу гэсэн үг болохыг олж мэдэхэд ашигладаг програмчлалын хэлийг дэмждэг. Zeek програмчлалын хэл нь тухайн байгууллагын хэрэгцээнд нийцүүлэн мета өгөгдлийг хэрхэн тайлбарлахыг өөрчлөхөд ашиглаж болно. Энэ нь AND, OR, NOT операторуудыг ашиглан нарийн төвөгтэй логик нөхцөлийг бий болгох боломжийг танд олгоно. Энэ нь хэрэглэгчдэд орчиндоо хэрхэн дүн шинжилгээ хийхийг өөрчлөх боломжийг олгодог. Гэсэн хэдий ч Suricata-тай харьцуулахад Zeek нь аюулгүй байдалд заналхийлсэн хайгуул хийхэд нэлээд төвөгтэй хэрэгсэл мэт санагдаж болохыг тэмдэглэх нь зүйтэй.
Хэрэв та Zeek-ийн талаар илүү дэлгэрэнгүй мэдээлэл авахыг хүсвэл холбоо барина уу видео.
7. Пантер
нь аюулгүй байдлыг тасралтгүй хянах хүчирхэг, уугуул үүлэн платформ юм. Энэ нь саяхан нээлттэй эхийн ангилалд шилжсэн. Төслийн эхэнд гол архитектор байдаг — кодыг Airbnb нээсэн автомат бүртгэлийн дүн шинжилгээ хийх шийдэл. Panther хэрэглэгчдэд бүх орчинд аюул заналыг төвлөрсөн байдлаар илрүүлж, хариу арга хэмжээг зохион байгуулах нэг системийг өгдөг. Энэхүү систем нь үйлчилж буй дэд бүтцийн цар хүрээг дагаад өсөх чадвартай. Аюулгүй байдлыг илрүүлэх нь ил тод, тодорхой дүрмүүд дээр суурилж, аюулгүй байдлын мэргэжилтнүүдийн шаардлагагүй ачааллыг бууруулах, хуурамч эерэг үр дүнг бууруулах зорилготой юм.
Пантерийн гол шинж чанаруудын дунд дараахь зүйлс орно.
- Бүртгэлд дүн шинжилгээ хийх замаар нөөцөд зөвшөөрөлгүй хандсаныг илрүүлэх.
- Аюулгүй байдлын асуудлыг илтгэх үзүүлэлтүүдийг бүртгэлээс хайх замаар хэрэгжүүлсэн аюулыг илрүүлэх. Хайлтыг Panter-ийн стандартчилсан мэдээллийн талбаруудыг ашиглан хийдэг.
- Системийг SOC/PCI/HIPAA стандартад нийцэж байгаа эсэхийг шалгаж байна Пантер механизмууд.
- Халдагчид ашигласан тохиолдолд ноцтой асуудал үүсгэж болзошгүй тохиргооны алдааг автоматаар засч, үүлэн нөөцөө хамгаалаарай.
Panther нь AWS CloudFormation ашиглан байгууллагын AWS үүлэн дээр байрлуулсан. Энэ нь хэрэглэгч өөрийн өгөгдлийг үргэлж хянах боломжийг олгодог.
Үр дүн
Системийн аюулгүй байдлыг хянах нь өнөө үед маш чухал ажил юм. Энэ асуудлыг шийдвэрлэхэд ямар ч хэмжээний компаниудад маш их боломж олгодог, бараг үнэ төлбөргүй эсвэл үнэ төлбөргүй байдаг нээлттэй эхийн хэрэгслүүд тусалж чадна.
Эрхэм уншигчид! Та аюулгүй байдлын хяналтын ямар хэрэгслийг ашигладаг вэ?
Эх сурвалж: www.habr.com